Attacco hacker a Microsoft: chiave MSI in crash dump di Windows

Lo scorso luglio il gruppo cinese Storm-0558 ha lanciato un attacco hacker a Microsoft, riuscendo ad ottenere una chiave di firma. Questa è stata poi utilizzata per violare account di posta elettronica Exchange Online e Azure Active Directory (AD). Secondo l'azienda l'attacco ha coinvolto 25 organizzazioni, comprese organizzazioni governative statunitensi e account consumer ad esse legati. Dopo aver svolto le proprie indagini, l’azienda di Redmond ha rilasciato un report sul suo blog ufficiale. Secondo gli esperti di Microsoft, gli hacker avrebbero compromesso l’account aziendale di un ingegnere del gruppo e avrebbero prelevato la chiave MSI all’interno di un crash dump di Windows.

Attacco hacker a Microsoft: i risultati dell’indagine e le rassicurazioni agli utenti

Secondo quanto rivelato dall’azienda sull’attacco hacker a Microsoft: “L’indagine ha rilevato che un arresto anomalo del sistema di firma consumer nell'aprile del 2021 ha prodotto uno snapshot del processo bloccato ("crash dump"). I crash dump, che oscurano informazioni sensibili, non dovrebbero includere la chiave di firma. In questo caso, una condizione di competizione ha permesso alla chiave di essere presente nel crash dump. La presenza del materiale chiave nel crash dump non è stata rilevata dai nostri sistemi” L’azienda ha comunque fatto sapere che entrambi i problemi sono stati corretti.

L’account violato dell’ingegnere aveva accesso all'ambiente di debug contenente il crash dump, all’interno del quale era presente la chiave. Secondo gli esperti questo è il modo più plausibile grazie al quale Storm-0558 ha potuto fare partire l’attacco hacker a Microsoft. La società di Redmond ha comunque voluto rassicurare gli utenti dichiarando che ha identificato e risolto la condizione di competizione che permetteva alle chiavi di firma di essere nei crash dumps e ha migliorato la sicurezza per il rilevamento delle chiavi di firma nell’ambiente di debug. Infine, Microsoft ha fatto sapere di aver rilasciato librerie aggiornate per automatizzare la convalida dell’ambito delle chiavi nelle librerie di autenticazione.